Citrix ADC

Integración de GI-LAN

Por lo general, un dispositivo Citrix ADC se inserta como un nodo en línea L3 separado en la GI-LAN, de forma similar a un enrutador L3.

Ilustración: Una representación simple de un Gi-LAN

Imagen localizada

Conectividad

Se recomienda una conectividad física de Citrix ADC a los conmutadores ascendentes para proporcionar suficiente redundancia. Por ejemplo, suponiendo que un dispositivo Citrix ADC se inserte en una GI-LAN que gestiona un total (enlace ascendente+enlace descendente) de 24 Gbps, se recomienda la conectividad con 4 x 10 GbE o más interfaces. Esto proporciona efectivamente redundancia N+1 en caso de un fallo de enlace.

Los puertos relevantes del conmutador ascendente deben configurarse para la agregación de puertos LACP. La configuración relevante en Citrix ADC se describe a continuación:

Configuración de conectividad:

set interface 10/1 –tagall ON –lacpMode ACTIVE –lacpKey 1

set interface 10/2 –tagall ON –lacpMode ACTIVE –lacpKey 1

set interface 10/3 –tagall ON –lacpMode ACTIVE –lacpKey 1

set interface 10/4 –tagall ON –lacpMode ACTIVE –lacpKey 1
<!--NeedCopy-->

Puede verificar la funcionalidad adecuada de LACP mediante el comando “show interface”:

mostrar interfaz:

sh interface LA/1

    1)      Interface LA/1 (802.3ad Link Aggregate) #39

             flags=0x4100c020 <ENABLED, UP, AGGREGATE, UP, HAMON, 802.1q>

             MTU=1500, native vlan=1, MAC=02:e0:ed:33:88:b0, uptime 340h11m56s

             Requested: media NONE, speed AUTO, duplex NONE, fctl NONE,

             throughput 0

             Actual: throughput 4000

             LLDP Mode: NONE,

             RX: Pkts(918446) Bytes(110087414) Errs(0) Drops(795989) Stalls(0)

             TX: Pkts(124113) Bytes(15255532) Errs(0) Drops(0) Stalls(0)

             NIC: InDisc(0) OutDisc(0) Fctls(0) Stalls(0) Hangs(0) Muted(0)

             Bandwidth thresholds are not set.

Disable the remaining unused interfaces and turn off the monitor.

set interface 10/5 –haMonitor OFF
<!--NeedCopy-->

Comando:

set interface 10/24 –haMonitor OFF

disable interface 10/5

disable interface 10/24
<!--NeedCopy-->

La configuración de las interfaces físicas no se comparte en las dos unidades Citrix ADC. Por lo tanto, los comandos anteriores deben ejecutarse en ambos nodos de Citrix ADC en caso de una implementación de par de alta disponibilidad.

Configuración de alta disponibilidad

Todos los demás parámetros de configuración se comparten entre los nodos Citrix ADC de un par de alta disponibilidad. Por lo tanto, la sincronización de alta disponibilidad debe habilitarse antes de que se ejecute cualquier otro comando de configuración. La configuración de alta disponibilidad básica implica los siguientes pasos:

1. Mediante exactamente el mismo hardware, software y licencia de Citrix ADC: Los pares de HA no se admiten entre diferentes modelos (es decir, un T1100 y un MPX21550) ni los mismos modelos con diferentes niveles de firmware. Consulte las instrucciones adecuadas sobre cómo actualizar un par de HA existente - Actualización a la versión 11.1.

2. Establecimiento del par HA.

Ejemplo:

netscaler-1> add HA node 1 <netscaler-2-NSIP>

netscaler-2> add HA node 1 <netscaler-1-NSIP>
<!--NeedCopy-->

3. Verifique que el establecimiento del par HA ejecute el siguiente comando en cualquiera de los nodos; ambos nodos deben estar visibles, uno de ellos como Primario (activo) y el otro como secundario (en espera).

Ejemplo:

show HA node
<!--NeedCopy-->

4. Active el modo a prueba de fallos y MaxFlips Esto garantiza que, en caso de un fallo del monitor de ruta en ambos nodos, al menos un nodo permanezca activo sin que el estado activo/en espera cambie constantemente.

Ejemplo:

set HA node –failsafe ON

set HA node -maxFlips 3 -maxFlipTime 1200
<!--NeedCopy-->

5. Por último, habilite la sincronización de alta disponibilidad en los puertos dedicados dentro de Citrix ADC en lugar de en la red OAM.

Ejemplo:

add vlan 4080 -aliasName syncVlan

set HA node -syncvlan 4080
<!--NeedCopy-->

Nota

La VLAN 4080 en los comandos del ejemplo anterior no debe tomarse literalmente. Es posible que se reserve cualquier ID de VLAN no utilizada.

Configuración de VLAN

Una vez que las interfaces físicas se hayan configurado correctamente, puede configurar las VLAN GI-LAN apropiadas. Por ejemplo, considere un entorno GI-LAN bastante simple con un par de VLAN de entrada/salida con un identificador de VLAN 100/101 respectivamente.

Los siguientes comandos configuran las VLAN relevantes sobre el canal LACP creado en el paso anterior.

add vlan 100
add vlan 101
bind vlan 100 –ifnum LA/1 –tagged
bind vlan 101 –ifnum LA/1 –tagged
<!--NeedCopy-->

Configuración de IPv4

Por lo general, un dispositivo Citrix ADC requiere un SNIP por VLAN. En el ejemplo siguiente se supone que las redes descritas en el diagrama de integración de GI-LAN, dado al principio de esta página, tienen una máscara de subred /24:

add ns ip 192.168.1.254 255.255.255.0 –vserver DISABLED –mgmtAccess DISABLED
add ns ip 192.168.2.254 255.255.255.0 –vserver DISABLED –mgmtAccess DISABLED
<!--NeedCopy-->

Una vez configurados los SNIP, deben asociarse a la VLAN adecuada:

bind vlan 100 –IPAddress 192.168.1.254 255.255.255.0
bind vlan 101 –IPAddress 192.168.2.254 255.255.255.0
<!--NeedCopy-->

Redirección estática IPv4

El ejemplo descrito en la sección Red de administración requiere solo un par de reglas de redirección estáticas:

  • Una ruta estática 10.0.0.0/8 a los clientes a través del router de entrada
  • Una ruta predeterminada a Internet a través del enrutador de salida

Ejemplo:

add route 0.0.0.0 0.0.0.0 192.168.2.1
add route 10.0.0.0 255.0.0.0 192.168.1.1
<!--NeedCopy-->

Redirección basada en directivas IPv4 (VLAN: VLAN)

Un dispositivo Citrix ADC permite la redirección basada en directivas en lugar de redirección estática, con decisiones de redirección generalmente basadas en la interfaz entrante y/o VLAN en lugar de la IP de destino. La redirección basada en directivas es una alternativa conveniente, en caso de que el rango de direcciones IP de origen del cliente esté sujeto a cambios periódicos, o una consideración obligatoria, en caso de que la dirección IP de destino de un paquete no sea suficiente por sí misma para llegar a una decisión de redirección (es decir, en caso de superposición de direcciones IP de cliente en varias VLAN).

Ejemplo:

add ns pbr fromWirelessToInternet ALLOW –nextHop 192.168.2.1 –vlan 100 –priority 10

Done

 add ns pbr fromInternetToWireless ALLOW –nextHop 192.168.1.1 –vlan 200 –priority 20

Done

apply ns pbrs
<!--NeedCopy-->

Configuración de IPv6

Los siguientes comandos asignan SNIP IPv6 por vlan. En el ejemplo siguiente se supone que las redes descritas en la Ilustración: Una representación simple de una Gi-LAN en esta página tienen una máscara de subred /64:

Comando:

add ns ip6 fd00:192:168:1::254/64 -vServer DISABLED –mgmtAccess DISABLED
add ns ip6 fd00:192:168:2::254/64 -vServer DISABLED –mgmtAccess DISABLED
bind vlan 100 -IPAddress fd00:192:168:1::254/64
bind vlan 200 -IPAddress fd00:192:168:2::254/64
<!--NeedCopy-->

Redirección de IPv6

Una vez completado el direccionamiento IPv6, se puede configurar la redirección estático IPv6:

  • Una ruta estática fd 00:10: :/64 a los clientes a través del enrutador de entrada
  • Una ruta predeterminada a Internet a través del enrutador de salida

Ejemplo:

add route6 fd00:10::/64 fd00:192:168:1::1
add route6 ::/0 fd00:192:168:2::1
<!--NeedCopy-->

O el uso de redirección basada en directivas:

Ejemplo:

add ns pbr6 fromWirelessToInternetv6 ALLOW -vlan 100 -priority 10 -nextHop fd00:192:168:2::1

add ns pbr6 fromInternetToWirelessv6 ALLOW -vlan 200 -priority 20 -nextHop fd00:192:168:1::1

apply ns pbr6
<!--NeedCopy-->

Redundancia y conmutación por error de LACP

En el caso de una configuración de alta disponibilidad, se recomienda aprovechar la opción de rendimiento para configurar un umbral bajo para el canal LACP. Por ejemplo, considere una Gi-LAN de 25 Gbps y un canal de 4 x 10 GbE entre cada dispositivo Citrix ADC del par de alta disponibilidad y el conmutador ascendente para proporcionar redundancia de enlace N+1:

Ejemplo:

set interface LA/1 –haMonitor ON –throughput 29000
<!--NeedCopy-->

En caso de una falla de doble enlace entre el dispositivo principal y el conmutador ascendente, el rendimiento máximo de GI-LAN que se puede admitir caería a 20 Gbps. Un umbral bajo de 29 Gbps según el ejemplo anterior daría como resultado un evento de conmutación de redundancia en el dispositivo secundario (que no ha sufrido fallos de enlace similares), de modo que el tráfico GI-LAN no se vea afectado.

Monitores de ruta

Además de la redundancia LACP, las comprobaciones del monitor de ruta pueden configurarse y asociarse con la configuración del par de alta disponibilidad. Las comprobaciones del monitor de rutas pueden ser útiles para detectar fallas entre el dispositivo Citrix ADC y los enrutadores de siguiente salto, especialmente si dichos enrutadores no están conectados directamente, sino a través de un conmutador ascendente.

A continuación se describe una configuración típica del monitor de ruta de alta disponibilidad según la Gi-LAN de muestra en la sección 2.5.1:

add route 192.168.1.0 255.255.255.0 192.168.1.1 -msr ENABLED -monitor arp
add route 192.168.2.0 255.255.255.0 192.168.2.1 -msr ENABLED -monitor arp
bind HA node -routeMonitor 192.168.1.0 255.255.255.0
bind HA node -routeMonitor 192.168.2.0 255.255.255.0
<!--NeedCopy-->